Struts2/XWork 安全漏洞及解決辦法

原創 zhangxs_3 2020-02-21 18:22

exploit-db網站在7月14日爆出了一個Struts2的遠程執行任意代碼的漏洞。
漏洞名稱:Struts2/XWork < 2.2.0 Remote Command Execution Vulnerability
相關介紹:

  • http://www.exploit-db.com/exploits/14360/
  • http://sebug.net/exploit/19954/


Struts2的核心是使用的webwork框架,處理 action時通過調用底層的getter/setter方法來處理http的參數,它將每個http參數聲明爲一個ONGL(這裏是ONGL的介紹)語句。當我們提交一個http參數:

?user.address.city=Bishkek&user['favoriteDrink']=kumys


ONGL將它轉換爲:

action.getUser().getAddress().setCity("Bishkek")
action.getUser().setFavoriteDrink("kumys")


這是通過ParametersInterceptor(參數過濾器)來執行的,使用用戶提供的HTTP參數調用 ValueStack.setValue()。
爲了防範篡改服務器端對象,XWork的ParametersInterceptor不允許參數名中出現“#”字符,但如果使用了Java的 unicode字符串表示/u0023,攻擊者就可以繞過保護,修改保護Java方式執行的值:
此處代碼有破壞性,請在測試環境執行,嚴禁用此種方法進行惡意攻擊

?('/u0023_memberAccess[/'allowStaticMethodAccess/']')(meh)=true&(aaa)(('/u0023context[/'xwork.MethodAccessor.denyMethodExecution/']/u003d/u0023foo')(/u0023foo/u003dnew%20java.lang.Boolean("false")))&(asdf)(('/u0023rt.exit(1)')(/u0023rt/[email protected]@getRuntime()))=1


轉義後是這樣:

?('#_memberAccess['allowStaticMethodAccess']')(meh)=true&(aaa)(('#context['xwork.MethodAccessor.denyMethodExecution']=#foo')(#foo=new%20java.lang.Boolean("false")))&(asdf)(('#rt.exit(1)')(#[email protected]@getRuntime()))=1


OGNL處理時最終的結果就是

java.lang.Runtime.getRuntime().exit(1);


類似的可以執行

java.lang.Runtime.getRuntime().exec("rm –rf /root")

,只要有權限就可以刪除任何一個目錄。
目前嘗試了3個解決方案:

1.升級到struts2.2版本。
這個可以避免這個問題,但是struts開發團隊沒有release這個版本(包括最新的2.2.1版本都沒有release),經我測試發現新版本雖然解決了上述的漏洞,但是新的問題是strus標籤出問題了。

<s:bean id="UserUtil" name="cn.com.my_corner.util.UserUtil"></s:bean>
<s:property value="#UserUtil.getType().get(cType.toString())" />


這樣的標籤在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的問題導致的,補了漏洞,正常的使用也用不了了。
所以sebug網站上的建議升級到2.2版本是不可行的。

2.struts參數過濾。

<interceptor-ref name="params">
<param name="excludeParams">.*//u0023.*</param>
</interceptor-ref>


這個可以解決漏洞問題,缺點是工作量大,每個項目都得改struts配置文件。如果項目裏,是引用的一個類似global.xml的配置文件,工作量相應減少一些。

3.在前端請求進行過濾。
比如在ngnix,apache進行攔截,參數中帶有/u0023的一律視爲攻擊,跳轉到404頁面或者別的什麼頁面。這樣做的一個前提就是沒人把#號轉碼後作爲參數傳遞。

目前來看後兩種是比較有效的方法,採用第三種方法比較簡便。是否有另外的解決辦法,歡迎大家討論。

我並沒有在windows環境下測試,有同學在windows下沒有試驗成功,這並不能說明windows下就沒有風險可能是我們的參數或者什麼地方有問題而已。既然漏洞的確存在,咱們就要重視對吧。歡迎大家測試,是否windows下漏洞不能執行成功。

zhangxs_3
發佈了49 篇原創文章 · 獲贊 8 · 訪問量 34萬+
私信 關注
發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

Struts2day04判斷用戶是否登錄

1.在攔截器中獲得用戶登錄的session  在LoginCheckInterceptor中extends AbstractInterceptor package com.jsu.struts2.interceptor; import

Tyan520 2020-07-08 07:40:48

Struts2day04Struts2.0文件的下載

1.寫一個Action,在DownloadAction extends ActionSuport package com.jsu.struts2.action; import java.io.File; import java.io.F

Tyan520 2020-07-08 07:40:48

struts2day05異常處理

Struts2.0的異常處理機制   1.什麼是異常?軟件在開發和運行過程中可能遇到的錯誤。【對象】   2.異常的種類?    Check異常【檢測時異常】在編譯過程中必須進行處理(編譯器不通過)       IOException /

Tyan520 2020-07-08 07:40:46

Struts2day04Struts2.0文件的上傳

1、在服務器端提供一個文件夾存放提交的文件,upload文件夾,位於WebRoot下面 2.在upload.jsp頁面 <%@ page language="java" import="java.util.*" pageEncoding=

Tyan520 2020-07-08 07:40:43

struts.xml配置,三種調用方法的配置

1.使用method屬性調用方法          <!-- 註冊請求 -->          <action name="register" class="com.house.action.UserAction" method="do

wkj888888 2020-07-07 10:01:44

動態結果配置:struts.xml中,屬性的type配置之redirectAction(請求重定向到指定的Action)

  實例:     struts.xml的配置     <!-- 開啓動態方法,value改爲true -->     <constant name="struts.enable.DynamicMethodInvocation" val

wkj888888 2020-07-07 10:01:44

Struts2自學入門(二)

注:黃色字體爲網絡引用內容 一、Action和ActionSupport的區別 Actionsupport這個工具類在實現了Action接口的基礎上還定義了一個validate()方法,重寫該方法,它會在execute()方法之前

PleaseLieToMe 2020-07-07 06:13:13

Struts2自學入門(一)

注:黃色部分爲從網絡引用內容。 概念:Struts2與Servlet的區別: 1.編程思想相同,通過前臺請求後臺數據,再得到返回值。因此Struts2本質還是Servlet。 2.代碼的規範。因爲jsp+servlet開發隨意。規範性

PleaseLieToMe 2020-07-07 06:13:13

Struts2中動態的result

UserAction.java package com.zhang; public class UserAction { private String num; private int type; public String

-江南听雨- 2020-07-06 03:44:44

Struts2學習——0400ActionWildCard通配符配置

背景 我們在前面用了DMI,動態的進行了方法的引用,得到了一個效果,只需要配置一個action,多個result就可以了,不用針對一個類的不同方法,配置不同的action。但是,這樣我們是覺得煩,能不能action只有一個,res

Do_It_Today 2020-07-06 00:02:26

Struts2學習——0300DMI動態方法調用

背景 現在有一個Action,它的action_name=user,背景是從現實小項目中抽象出來。現在有一個用戶管理系統,而用戶管理,肯定不僅僅是添加用戶,還有的比如用戶登錄,後臺刪除用戶等等需求,使得user的操作不僅僅是一個a

Do_It_Today 2020-07-05 23:20:48

Struts2學習——1400OGNL2訪問方法與屬性

OGNL2訪問方法與屬性 在上一小節中,我們訪問了值棧中action的屬性,值棧中對象的屬性。在本小節中將訪問值棧中action的屬性與方法,值棧中對象的屬性與方法,還有靜態屬性與方法。 1.訪問普通屬性值及方法 爲了更好的做實驗

Do_It_Today 2020-07-05 23:20:48

Struts2學習——0900DefaultAction 默認Action

背景 DefaultAction也是有其應用背景的,中文名稱爲默認action,從名稱來看,我們也可以比較好的理解,默認的意思就是如果沒有其他操作,就選擇規定的一個。所有默認action的意思就是,如果輸入的URL和其他的acti

Do_It_Today 2020-07-05 23:20:37

修改Struts2表單錯誤提示的顯示樣式

表單代碼: <s:form action="userRegisterAction" method="post"> <s:textfield name="username" required="true" label="用戶名"></s:t

forGongyuan 2020-07-05 06:06:01

配置Struts2後如何使用servlet

有時候,我們在配置了Struts2後還會想用servlet,但是默認是用不了的,都被struts2攔截了,並在struts.xml中匹配是否有該action 那麼,如何使用呢? 1.新建一個filter,用於過濾servlet impor

forGongyuan 2020-07-05 06:05:59